无线安全特性

一、WLAN安全

二、无线设备检测流程

[AC-wlan-view]air-scan-profile name air-scan #创建空口扫描模板
[AC-wlan-air-scan-prof-air-scan]scan-channel-set country-channel #配置空口扫描信道集合
[AC-wlan-air-scan-prof-air-scan]scan-interval 60000 #配置空口扫描间隔时间60000ms（可选）
[AC-wlan-air-scan-prof-air-scan]scan-period 60 #配置空口扫描持续时间60ms（可选）
[AC-wlan-air-scan-prof-air-scan]quit
[AC-wlan-view]radio-5g-profile name 5G
[AC-wlan-radio-5g-prof-5G]air-scan-profile air-scan

[AC-wlan-view]wids-profile name WIDS
[AC-wlan-wids-prof-WIDS]contain-mode spoof-ssid-ap
[AC-wlan-wids-prof-WIDS]device report-interval 300 #配置上报检测的无线设备的间隔时间为300s
[AC-wlan-wids-prof-WIDS]device synchronization-interval 360 #配置上报全量检测的无线设备的间隔时间360分钟
[AC-wlan-wids-prof-WIDS]brute-force-detect interval 70 检测周期70s
[AC-wlan-wids-prof-WIDS]brute-force-detect threshold 25 错误次数为25次
[AC-wlan-wids-prof-WIDS]brute-force-detect quiet-time 700 静默时间为700s
[AC-wlan-wids-prof-WIDS]flood-detect interval 70
[AC-wlan-wids-prof-WIDS]flood-detect threshold 350
[AC-wlan-wids-prof-WIDS]flood-detect quiet-time 700
[AC-wlan-wids-prof-WIDS]dynamic-blacklist enable 开启动态黑名单
[AC-wlan-wids-prof-WIDS]quit
[AC-wlan-view]ap-system-profile name ap-system
[AC-wlan-ap-system-prof-ap-system]dynamic-blacklist aging-time 200
[AC-wlan-ap-system-prof-ap-system]quit

[AC-wlan-view]wids-spoof-profile name wids-spoof
[AC-wlan-wids-spoof-prof-wids-spoof]spoof-ssid fuzzy-match regex
[AC-wlan-wids-spoof-prof-wids-spoof]quit

[AC-wlan-view] ap-group name office-group
[AC-wlan-ap-group-office-group]vap-profile VAP wlan 1 radio all
[AC-wlan-ap-group-office-group]wids-profile WIDS
[AC-wlan-ap-group-office-group]ap-system-profile ap-system
[AC-wlan-ap-group-office-group]radio 0
[AC-wlan-group-radio-group/0]wids device detect enable #开启设备检测
[AC-wlan-group-radio-group/0]wids contain enable 开启非法设备反制工勘
[AC-wlan-group-radio-group/0]wids attack detect enable wap2-psk 检测暴力破解密钥
[AC-wlan-group-radio-group/0]wids attack detect enable flood 检测泛洪***

有线为单独管理、无线为集中管理
AP 5030双GE口GE0支持POE、GE1不支持POE
AP 5130双GE口GE0支持POE、GE1不支持POE
AP 7030双GE口GE0支持POE、GE1不支持POE

交换机命名规则：

S5720S-52P-SI-AC ，S5720-52X-PWR-SI-ACF; （S5700）

S代表园区

7代表企业级

20代表下一代
20双电源，20S代表单电源（支持RPS冗余，主要面向分销）；
X代表万兆上行（4个万兆SFP+ ），P代表千兆上行（4个千兆SFP）
PWR代表POE款型；
ACF-PoE+满供款型

DC代表直流电，特殊行业中应用

TP代表光电复用
C代表可选配
Q代表40Gb
Li代表简化版
Si代表标准版
Ei代表增强版
Hi代表高级版

27，37，57，97是企业级设备（中的7代表企业级）

23，33，53，93是运营商级设备（中的3代表运营商级）
产品是分销机型价格会稍低一些，类似于促销（带S，也有原厂质保1年）

S5720SI的Combo口不支持堆叠
S5720SI堆叠时，同一台设备上的堆叠成员口，要么全部是SFP+/SFP口、要么全部是标准以太电口

概要设计（规划工程师）
需要澄清Checklist、工勘信息、产品型号，WLAN Planner工具
规划报告和AP清单:主要包括AP点位、AP功率、信道、天线的基本工参和信号仿真

一个项目涉及到多个AP应该采用工具来规划网络（一般采购设备要预留10%,备用，预算成本是否相差太大）

售后工勘（服务工程师、客户、建筑商、集成商）
要求澄清Checklist、概要设计、和集成商一起确定安装点、每个点走线和安装方案
工勘信息:具体的安装方案、走线方案

详细设计（服务工程师、客户、建筑商、集成商）
需要澄清Checklist、概要设计、售后工勘信息
详细设计报告主要涉及安装、网络配置、安全配置、业务配置等
确认现场建筑图纸是否一致，不一致区域重点标出，尽量拍照记录、标出房间号、障碍物关注重点

部署（网络规划工程师、施工方）
施工部署、现场督导（最好参与一下，是否按照设计来施工，过程中有什么问题等，可能影响后续网络质量产生影响）

AP网口向下以免渗水到网口里

运维（IT运维人员）
主要针对wlan设备以及交换机等网络设备的管理，包括状态监控告警查看等

优化
网络信息收集（服务工程师、客户）
客户需求，网络问题
需求澄清报告:包括网络拓扑、建筑物图纸、设备型号等

网络评估（服务工程师）
需求澄清报告、WLAN Tester工具

AP容量规划

网络现状分析报告

WLAN的数据转发工作原理
CSMA/CA:载波监听多路访问/冲突避免（因为无线工作在半双工模式下，同一个区域内同一时刻，只能一个设备发包）避免同频信号重叠导致无法调解
CSMA/CD:载波监听多路访问/冲突检测（以太网）

设备标称功率为100mW，指天线在芯片中100mW的能量，一但进入空中扩散就会被稀释掉，再导线里传输为正值，进去空气为负值，无线的功率单位为dBm，dB分贝它只是计数单位

建议单个AP覆盖半径按照20米规划，最大发射强度的限制值，单位为dBm

1、重点区域:用户主要上网区域控制在-40~-65dBm，功率太强容易导致接收过载，功率太弱会导致连接速率下降
2、边缘的选择-75dBm以上
3、干扰场强同一区域的同频干扰源不大于-80dBm

4、无线漫游:需要保证AP的覆盖边界有其他AP的信号，一般需要保持20%的重叠区域

接收灵敏度（速率只和信号强度有关）
STA为-75dBm、AP为-105dBm 、WLAN的环境噪声-95dBm

512kbps可以满足普通视频业务的要求，256kbps可以满足一般业务带宽要求

系统总带宽=总用户数*并发率*每用户带宽需求
AP数量=总带宽需求/每个AP带宽

安装方式：（AP安装位置不能被人直接接触）
室内放装型:壁挂、吸顶、天花板内放置   墙壁、天花板、承重柱
室内分布型:通过馈线。功分器、耦合器等连接天线
室外型:楼顶抱杆、地面抱杆、外墙壁挂  建筑物楼顶、建筑物外墙、地面

室分AP通过馈线连接外置的天线发出信号

合路器:将多路输入信号合成一路后输出，反向再把混合信号滤波分离
功分器:将一路信号平均分成两路三路等输出
耦合器:从主干线上取出所需信号能量给近端天线，而分配较多的信号能量给远端的天线

天线增加发送功率，通过设计实现能量，汇聚到一个点

本地转发:也称为直接转发，AC只对AP进行管理，业务数据都是由本地直接转发
集中转发:也称为隧道转发，业务数据报文由AP统一封装后到达AC实现转发，AC不但不进行对AP进行管理，还作为AP流量的转发中枢
应用场合：
本地转发优势用于园区网络，AC负担小
集中转发优势用于小型企业主要安全控制策略

二层漫游是同一个地址段
三层漫游切换不同的网段（一个终端申请与AP1发生关联，AC会创建相关的用户数据信息，当终端第一次过度AP2网络中会断开重新关联，这次会更新数据库信息）

有些终端无法认证，需要灌溉版本。有些POE交换机供电率不是满配，根据实际情况部署

AP升级失败的常见原因
1、链路断开    
2、AP内存不足    
3、AP升级文件有误    
4、升级控制块已满或正在下载的AP个数已经达到FTP最大连接数
5、FTP配置有误
6、网络传输能力太低，超过最大可传时间范围

网速慢的原因有
1、用户接入速率低
2、无线环境恶劣，干扰严重
3、用户数过多
4、低速率用户过多引起网络性能差
5、有线网络质量差
6、终端网卡性能差

有些较老的PC无法连接AP安装最新的网卡试试，有些事网卡兼容性的问题